SMB Norges Sikkerhetskonferanse - Oppsummering

Konferansen ble gjennomført 5-6 Oktober.

Crirespons.no

Kampanjetilbud fra 25. oktober til 1. desember 2022.

Verji.no

Kampanjetilbud fra 25. oktober til 1. desember 2022.

Presentasjoner fra konferansen

Sponsorer og samarbeidspartnere

Programmet

Onsdag 5. Oktober 2022 - Stortinget

Tidspunkt	Info
Kl. 10:00	Velkommen og praktisk informasjon v/ Jørund Rytman og Himanshu Gulati Konferansier: Dag Abrahamsen
Kl 10:10	Innlegg fra adm.dir. Næringslivets sikkerhetsråd, Odin Johannsessen
Kl 10:40	Innlegg fra adm.dir. NorSIS, Lars-Henrik Gundersen
Kl 11:00	10 min. pause
Kl 11:15	Dagfinn Buset fra BDO – «Hva sier 600 små og mellomstore bedrifter om cybersikkerhet?» BDO gjennomgår hovedfunnene fra sin undersøkelse av hvordan 600 små og mellomstore bedrifter fra 14 ulike sektorer forholder seg til arbeidet med cybersikkerhet.
Kl 11:35	«90 prosent av alle dataangrep skjer via e-post. Hvordan kan man enklest redusere denne risikoen, og hvordan kan det offentlige bidra?» Alf Kenneth Bråthen – CEO – Verji AS
Kl 12:00	Lunsj (serveres av Matspecialen)
Kl 13:00	Jøran Kallmyr og Vebjørn Søndersrød fra Advokatfirmaet Ræder. Fra Makro til Micro Verdensbildet ser helt annerledes ut etter Russlands invasjonskrig mot Ukraina. Kina står delvis på utsiden av det gode selskap. Slagmarken fra Ukraina kjenner vi, men forstår vi slagmarken rundt oss selv? Hvordan påvirkes du og din bedrift av de internasjonale storkonfliktene? Vi starter med makrobildet Så forklarer vi hva som kan skje med deres bedrift – cyberangrep osv. Risikoen. Deretter forklarer vi jussen – hvilket ansvar har SMB bedriften. Konsekvensene.
Kl 14:00	Pause
Kl. 14:15	«Når bedrifter skal kjøpe; Informasjonssikkerhet i anskaffelsesprosessen.» Jan Gerhardsen Formanek, Egde
Kl. 14:45	Verner Hølleland fra HP – «SMB – den nye målskiven for cyberkrim»
Kl. 15:00	Politisk debatt Deltakere: Odd Harald Hovland (Arbeiderpartiet) fra justiskomiteen Ivar B. Prestbakmo (Senterpartiet) fra justiskomiteen Tor Andre Johnsen (Fremskrittspartiet) Stortingsrepresentant og medlem av justiskomiteen
	Pause og mingling i baren på Bristol Hotell
Kl 18:30	Middag – Fisk til forrett, kjøtt til hovedrett og ost til dessert: Menyen på Bristol Grill

Torsdag 6. Oktober 2022 - Bristol hotell

Tidspunkt	Info
Kl 09:00	Innsjekk m/frukt og grønnsaker
Kl 10:00	Velkommen til årets andre del av Sikkerhetskonferanse v/Adm.dir Jørund H. Rytman Konferansier Dag Abrahamsen
KL 10.15	Hvorfor er det viktig med beredskap og sikkerhet og hvorfor er vi pålagt å gjøre noe med dette? Stein Inge Jærnes, leder kommunikasjon og merkevare i Kruse Smith Entreprenør 1. Hvorfor begynte vi prosessen med en oppdatering av vår beredskapsdokumentasjon og planverk 2. Hvordan har vi løst dette? 3. Hva har dette betyd for oss? 4. Hvordan vi har fått hjelp til å oppdatere bedriftens planverk, viktigheten av trening og øvelser og effektivisering via digitalisering 5. Vår erfaring/fordeler/besparelser
Kl 11.15	Pause
Kl 11:45	Carl Wilhelm van Kervel Barth eller Linn fra Ravyn Hvordan digitaliserer og operasjonaliserer beredskapsplanene (et verktøy for alle, uansett størrelse og bransje). I denne seansen vil de ta oss igjennom hva løsningen tilbyr, hvorfor digitalisere, intuitiv/brukervennlig, rask oppstart, lav kost og noen slider som viser praktisk bruk.
Kl 12:30	Lotte Lundby Kristiansen er advokat og partner i Advokatfirmaet Halvorsen & Co– Lovverk, viktigheten av å være godt forberedt, konsekvenser, ny åpenhets lov fra 1. juli.
Kl. 13:00	Lunsj
Kl 14:00	Stian Stenbek, spesialrådgiver – fagansvarlig sikkerhet v/Sikkerhetsledelse AS Hvordan sikre verdier i små og mellomstore virksomheter på en systematisk og enkel måte System Etablering Bruk Gevinst
Kl. 15:00	Avslutning ved Jørund Rytman

Praktisk informasjon?

Introtekst på noen setninger kan komme her.. Introtekst på noen setninger kan komme her.. Introtekst på noen setninger kan komme her.. Introtekst på noen setninger kan komme her..

Hold av datoene!

CRI Respons har samlet ekspertise på risiko, beredskap og krisehåndtering og er strategisk partner for SMB Norge. Som medlem tilbyr vi deg ett kontaktpunkt med kompetanse og løsninger som dekker hele verdikjeden innenfor risiko, sikkerhet og beredskap.
Vi har gjennom mange år sett hvordan dårlig organisering og mangel på metodikk gjør at uventede hendelser blir større enn de behøver. Vår erfaring er at rett handling til riktig tid, kommunikasjon og samhandling er de viktigste faktorene for å sikre at en hendelse ikke eskalerer og holdes under kontroll. Vårt mål er å sikre at kundene våre er så godt forberedt som mulig, slik at daglig drift kan opprettholdes og omfang og utfall begrenses under en uventet hendelse.

Situasjonen i disse dager forsterker ytterligere behovet for å se på risikofaktorer i egen bedrift og gjøre en ny vurdering om bedriften er rustet til å håndtere hendelser med viten om at dagens risikobilde er vesentlig forhøyet.
Vår klare anbefaling er å få en uavhengig 3. part til å gå igjennom og kartlegge bedriftens risikobilde.

Med Verji er kommunikasjonen kryptert, effektiv og i overensstemmelse med GDPR Verji gjør bedriften din sikrere. Du og dine ansatte kommuniserer kryptert, effektivt og sikkert i samsvar med personopplysningsloven og GDPR. Du kan lette frykten for nettangrep, bøter og regissørsvindel. Du kan være trypp på at du til enhver tid vet hvem du kommuniserer med. Og det beste av alt – på denne måten tar du vare på kundene dine! Cyberangrep og svindel er blitt hverdagskost. Viktige momenter som man bør merke seg er:

Ifølge Deloitte kommer 91 % av dataangrep inn i virksomhetene via e-posten.
Over 50% av SMB bedriftene utsatt for dataangrep, kaster inn håndkleet innen 6 måneder, og SMB bedriftene er mer utsatt enn de store.
Under 50% av Norske bedrifter har innført to-faktor autentisering på sine systemer, ett av de enkleste og viktigste tiltakene for å øke IT-sikkerheten.
Daglig leder og styremedlemmer kan bli personlig økonomisk ansvarlig dersom IT sikkerheten er uforsvarlig.

I HP er vi ekstremt opptatt av sikkerhet – ikke bare gjennom forsvarsverket som vi legger inn i PC’ene og printerne, men vi samler inn og overvåker data fra millioner av printere og PCer verden over fra kundene vi har driftsavtaler med og selvfølgelig samtykke fra. Vi er alle klar over det økende trusselbildet generelt, men det vi ser fra HP i disse dataene er en klar økning I angrep rettet mot små og mellomstore virksomheter.

Det vi ser er at tett på 80% av all suksessfulle angrep starter i et endepunkt – dvs. en PC eller en printer. Og største risikoen sitter 30 cm foran tastaturet – en kollega som klikker på en skadelig link eller på en eller annen måte aktiverer kode som skaper en inngang. Derfra er veien ofte kort til å angripe resten av infrastrukturen til virksomheten. Med stadig flere tilkoblinger utenfor virksomhetens fulle kontroll – som f.eks. Fra hjemmekontor – ser vi at suksessraten øker. Printere er ofte utsatt siden disse er litt oversett – men de er på lik linje med PC’er knyttet opp i nettet har egen prosessor, minne og operativsystem og har i prinsippet samme muligheter som en PC til å bli brukt som inngangsport. Så hvordan skal vi håndtere denne utfordringen – det handler mye om kompetanse på alle nivåer – og starter på toppen hos ledelse og styre..

RAYVNs beredskapsstøtte-/hendelsesverktøy vil utgjøre en forskjell når en kritisk situasjon inntreffer:

Rimelig løsning tilpasset SMB markedet.

Robust – Enkelt – Kontroll:

Robust:

RAYVN er sky basert og vil fungere når «andre» systemer er nede.
Lav kostnad ved kjøp av RAYVN – høy «Return on Investment».

Kontroll:

Men først og fremst vil RAYVN gi deg muligheten til å FORSTÅ situasjonen, kunne RESPONDERE på den informasjonen du har og holde FOKUS igjennom hendelsen.
RAYVN gir deg god situasjonsforståelse og god kontroll for å ta de rette beslutningene. Du kan fokusere på de viktigste oppgavene og ta ned potensialet i hendelsen raskt.
Ha full kontroll på evalueringen, RAYVN registrerer alle loggføringer, alle utførte oppgaver og møtereferater og samler dette i en automatisk rapport.

Når Big Regulation møter Big Tech, hva skjer med SMB-bedriftene?
SMB taper terreng når store reguleringer innføres. Definisjonen av en SMB bedrift i Norge er ikke det samme som i Europa når det kommer til antall ansatte. SMB i Norge har opptil 100 ansatte, mens i Europa er det 250 ansatte.

I Norge innfører vi reguleringer fra EU som besluttes uten tilpasning til det norske bedriftsmarkedet. Det er mye å hente på å være en del av et større marked og reguleringer er en del av den virkeligheten.
De store Forvaltningsorganene i EU og USA ønsker å regulere Big Tech, noe vi trenger.
Loven må være lik for alle.
Samtidig vet vi at verden ikke tilpasser seg behov i Norge. Norge er lite i den store sammenhengen og vi må jobbe hardt for at våre interesser skal ivaretas.

De siste krisene vi har vært igjennom – og nå står i – har vist at regulering av informasjonssikkerhet kan bli en viktig del av samfunnsberedskapen. Det er lenge siden informasjonsteknologi var noe eget og separat i samfunnet. Informasjonsteknologi har vært en viktig og sentral del av norsk og europeisk infrastruktur lenge.
Strøm, vei, vann og bane bygges, eies og reguleres av det store fellesskapet.
Med IT infrastruktur er det sjelden slik. Verdens forvaltningsorgan bruker betydelige ressurser på å regulere Big Tech og informasjonssikkerhet riktig.

Når Big Regulation møter Big Tech må SMB være en del av løsningen.
Anskaffelsesreglementene er ofte hovedverktøy når samfunnsendringer og politiske endringer skal gjennomføres. Derfor kan vi forvente at reguleringer av informasjonssikkerhet i de store selskapene vil gi nye krav og forventninger i offentlige anskaffelsesprosesser. Når dette skjer vet vi av erfaring at SMB taper terreng. Siden Norge startet med shipping, deretter olje og gass og i nyere tid GDPR og det grønne skiftet har SMB forsøkt å tilpasse seg. Tilpasse seg krav om alt fra soliditet til sertifisering etter standarder og etterlevelse av lovverk.

Sertifiseringer og dokumentasjon av etterlevelse koster penger og ressurser, for en liten bedrift på 50 ansatte, eller færre, er dette krevende og ofte ikke gjennomførbart.
Når grensen for SMB i Europa går på 250 ansatte skjønner vi at reguleringer som innføres i Europa vil hensynta langt større forhold enn de vi er vant med her hjemme.
Det er viktig at Norges lovgivere er bevisst på forskjellene mellom SMB i verden og SMB her hjemme. Skal informasjonssikkerheten styrkes og Big Tech reguleres må SMB være en del av løsningen.
I Norge står SMB for 700 milliarder kroner i omsetning, ansetter halvparten av alle arbeidstagere og de utgjør 99 prosent av alle bedrifter.
Vi får ikke grønne risikovurderinger i SMB med røde tall på bunnlinja.

Det viktige med beredskap er å være forberedt på å kunne takle det ukjente. Det krever gode systemer, avklarte roller og trening. Vi trener på det som vi anser som mulige hendelser. Samtidig gir trening på mulige hendelser også øvelse i å håndtere en metodikk som setter oss i stand til å håndtere helt ukjente situasjoner.
For oss i Kruse Smith har det vært viktig å hente inn ekstern ekspertise på fagfeltet beredskap. I samarbeid med CRI Respons har vi gjennomgått vårt eksisterende planverk og forbedret dette, og da særlig det som gjelder 2. og 3. linje. Vi har fått på plass gode arbeidsverktøy, herunder digitale løsninger, og hjelp til å planlegge og gjennomføre øvelser.
For oss i Kruse Smith er det uansett den beste beredskap å jobbe for å forhindre uønskede hendelser. Det betyr en ufravikelig prioritering av HMS, brukeropplæring og et kontinuerlig arbeid med å opprettholde og forsterke en arbeidskultur som setter sikkerhet for seg selv og andre i høysetet.

Det å bruke penger på beredskap er som å bruke penger på forsikring. Du håper du aldri får bruk for det, men er glad den dag noe skjer.
For oss i Kruse Smith er det flere forhold som ligger til grunn for at vi bruker tid og penger på dette:

Det gir oss internt større trygghet å vite at vi er forberedt.
Det setter oss i stand til å håndtere en situasjon bra, og med det redusere potensielle konsekvenser for menneske, miljø, økonomi og omdømme.
Vi mener gode systemer og god kontroll, herunder beredskapssystemer, er positivt for oss i konkurransesammenheng.

Halvorsen og Co I foredraget «Virksomheters etterlevelse av ny regulering» ble det gjennomgått hvor viktig det er å følge ny regulering samt en kort fremstilling av åpenhetsloven, og hvilken betydning denne får for virksomheter. Som følge av strengere regelverk i de fleste bransjer, sektorer og land stilles det store krav til virksomheters etterlevelse. Raskere endringstakt, økte krav og forventninger til åpenhet og samfunnsansvar fra omgivelsene gir mange muligheter, men fører også til økt risiko. Styret og ledelsen må derfor kartlegge, vurdere og styre relevante risikoer knyttet til etterlevelse av ny regulering, samt vurdere hva som er akseptabel og ikke akseptabel risiko. Hva bør du gjøre nå?

Forankre ansvarlighet i styret
Etablere retningslinjer og bedriftskultur
Innføre system for håndtering av informasjonsplikten
Foreta en kartlegging og en risikoanalyse

Sikkerhetsledelse

Hvis man overordnet ønsker å etablere en tilstand i en bedrift med at man har «god sikkerhet» betyr det «fravær av uønskede hendelser». For å skape en slik tilstand må man etablere et styringssystem for sikkerhet som handler om å etablere systematiske aktiviteter som er nødvendige for å oppnå og opprettholde et forsvarlig sikkerhetsnivå for virksomhetens verdier, mål og krav. Sikkerhetsstyringen er risikobasert – som vil si å identifisere, vurdere, håndtere og følge opp hendelser. Dette vil gi en proaktiv mulighet til å styre tiltak og håndtere hendelser, slik at man når sine mål og sikrer sine verdier. Et trusselbilde er generisk og overordnet, men samtidig konkret og bransjespesifikt. Risikobasert sikkerhetsstyring krever at man hele tiden har et oppdatert trusselbilde om det organisasjonen omgir seg med. Styringssystemets aktiviteter skaper vesentlige gevinster herunder;

grunnlag for å etablere god sikkerhetskultur
økt robusthet for ivaretakelse av kjerneverdier og sentrale funksjoner
økt evne til å gjenskape verdier, strukturer, prosesser og informasjon – tid til
gjenopprettelse minimeres